Ärzte Zeitung, 11.05.2012

Hintergrund

Die Arztpraxis in der Wolke

Alle Welt spricht derzeit vom Cloud-Computing. Ein ganz entscheidender Vorteil ist die Möglichkeit der Vernetzung ohne große Investitionen in eigene Hard- und Software. Doch für Arztpraxen ist die Nutzung der Clouds nicht ganz unproblematisch.

Von Rebekka Höhl

Die Arztpraxis in der Daten-Wolke

Auch möglich: Eine Private Cloud nur für ein Ärztenetz.

© P. R. Yakin / fotolia.com

Cloud-Services sprießen derzeit wie Pilze aus dem Boden. Egal ob es um Software-Dienste, Mail-System oder das Speichern von Daten geht - alles lässt sich per Cloud und mit wenig eigener Technik nutzen.

Und auch die Vernetzung mit anderen Nutzern ist plötzlich kein Problem mehr - dazu braucht es nur die richtigen Zugangsdaten und einen Internetanschluss. Doch eignen sich die Clouds auch für Arztpraxen und ihre sensiblen Patientendaten?

Das komme ganz darauf an, welche Daten die Praxis in die Cloud stellen wolle, sagt Maximilian Beckenbach, Senior Consultant Security bei der curaIT GmbH, die sich auf die Betreuung von IT-Systemen spezialisiert hat.

Ihr E-Mail-System könnten Ärzte problemlos in die Cloud stellen - solange darüber keine sensiblen Patientendaten ausgetauscht werden. Und auch ein gemeinsam geführter Terminkalender oder die Netzwerküberwachung samt Virenschutz könne über die Cloud geregelt werden.

Letzteres bietet sogar den Vorteil, dass die Praxis sich nicht ständig selbst um die Aktualisierung des Virenschutzprogramms kümmern muss. "Kritisch wird es, wenn Praxen auch ihre Praxisverwaltungssoftware in die Cloud werfen", so Beckenbach.

Die Frage ist: Wo parken die Anbieter ihre Server?

Das liegt auch ein bisschen an der Funktionsweise der Daten-Wolken. Denn die Cloud bzw. deren Anbieter macht nichts anderes, als der Praxis IT-Ressourcen via Netzwerk zur Verfügung zu stellen.

Programme, Rechenleistung, aber auch ganze Betriebssysteme ebenso wie Speicherplatz werden über solche Online-Netzwerke bereitgestellt. Dabei liegen die Daten auf Zentralservern, auf die per Web zugegriffen wird.

Der Rechner in der Praxis oder zu Hause wird im Prinzip nur für zwei Dinge benötigt: als Anbindung ans Internet und als Workstation, damit man mit den Programmen aus der Cloud auch arbeiten kann.

Das Problem dabei: Wo genau die Server stehen, auf denen die Daten abgelegt werden, weiß nur der Anbieter. Und auch nur er weiß, ob die Daten auf einem Server oder verteilt auf mehreren Servern, die vielleicht auch noch in unterschiedlichen Ländern stehen, gespeichert werden.

Ähnlich sieht es mit der Technik zur Datensicherung aus: "Die technische Organisation der Datenhaltung wird wie ein Staatsgeheimnis gehütet", schreiben Christian Metzger, Thorsten Reitz und Juan Villar in ihrem Ratgeber "Cloud Computing - Chancen und Risiken aus technischer und unternehmerischer Sicht" (Hanser Verlag, 2011).

Die Arzt haftet für die Daten

Deshalb, erklärt IT-Experte Beckenbach, lauten die nächsten Fragen, die Ärzte für sich beantworten müssten: Welchen Anbieter wähle ich? Und vertraue ich diesem Anbieter?

Denn der Arzt trage dafür Sorge, dass die Patientendaten nicht in Hände Dritter geraten. "Bei den großen Unternehmen wie Microsoft oder Cisco kann man sich sicher sein, dass sie auch alle nötigen Sicherheits- und DIN ISO-Zertifikate haben."

Wichtig sei aber auch, dass die Server für Europa auch tatsächlich nur in Europa stehen, so Beckenbach weiter. "Microsoft garantiert etwa, dass die Server für europäische Cloud-Dienste in Irland oder Amsterdam stehen."

Warum das so bedeutend ist: Weil in anderen Regionen andere Datenschutzregeln - mitunter laxere - und Zugriffsrechte für staatliche Kontrollen der Daten als in der EU gelten. Also gilt es, sich vor dem Vertragsschluss die Zertifikate der Anbieter genau anzusehen.

"Ärzte sollten dabei unbedingt auf DIN ISO-Zertifikate achten", sagt Beckenbach. Weil hier die Prüfer unabhängig und wesentlich strenger seien.

Alternative Privat-Cloud

Was ebenfalls möglich ist: Ärzte, etwa wenn sie in einem Ärztenetz zusammenarbeiten wollen, bauen sich eine eigene sogenannte Private Cloud auf. Dann steht der gemeinsame Datenserver entweder - in einem abgesicherten Raum - in einer der Praxen oder bei der Managementgesellschaft des Netzes.

Möglich ist auch die Auslagerung an einen Dienstleister, aber auch dann sollte es sich um eine Private Cloud handeln, für die ein Server in einem bestimmten - speziell gesicherten - Rechenzentrum bereitgestellt wird.

Die Patientendaten bleiben trotzdem in den einzelnen Praxen. Es kann durch die Cloud aber übergreifend auf Fallakten oder Terminkalender zugegriffen werden oder der gesicherte Austausch von Daten erfolgen.

IBM bietet etwa solche Private Cloud Modelle, mit denen auch Gesundheitsinformationen datenschutzkonform verarbeitet und gespeichert werden können, da die Infos weiterhin unter ärztlicher Hoheit und damit unter Beschlagnahmeschutz stehen, wie IBM erklärt.

"Solche Modelle sind aber in Deutschland sehr selten, da es für sektoral organisierte Leitungserbringer bisher wenig Anreize gibt, Patienteninformationen auszutauschen und eine sektorenübergreifende, integrierte Patientenversorgung effizienter zu koordineren", sagt Manuela Müller-Gerndt, bei IBM Deutschland für den Bereich Healthcare verantwortlich.

Das Thema Sicherheit hört nicht vor der Praxistür auf

Auch Microsoft erprobt derzeit ähnliche Plattform-Lösungen. Ein Beispiel ist etwa das Gesundheitsbuch von gnf Mediber, hinter dem die Microsoft Cloud-Lösung HealthVault liegt.

Hierüber können Senioren von zu Hause wichtige Vitalparameter erfassen und über ein Zugriffsrechte-System via Cloud dem Arzt zur Verfügung stellen.

Doch es sind nicht nur die Anbieter, die eine Cloud sicher oder unsicher machen. "Solange mein Ende der Leitung nicht sicher ist, ist auch die Cloud nicht sicher", sagt Beckenbach.

Das heißt, der Internetzugang und der Rechner in der Praxis sollten ebenfalls vor Zugriffen Dritter und vor Malware geschützt werden. Nicht nur mit aktuellen Virenschutzscannern. Dazu gehört laut Beckenbach in jedem Fall auch eine Firewall.

Für Praxen gelten strenge Datenschutzregeln

Wer sich mit Praxisdaten in die Cloud begibt, sollte datenschutzrechtlich vorsorgen - sonst drohen unangenehme Strafen.

Für Praxen und ihre sensiblen Daten gelten strenge Datenschutzregeln. Genau dieser Punkt macht die Nutzung von Clouds für Ärzte so heikel.

An sich werden auch in der Cloud die Daten über ein Verschlüsselungsverfahren in unlesbare Kleinteile zerlegt und so gespeichert. Erst wenn sich der Nutzer mit seinen Zugangsdaten in das Programm oder auf dem Server einloggt, werden die Daten wieder - über ein spezielles Programm - zusammengeführt.

Ärzte müssen aber, zumindest wenn es um Praxis- und Patientendaten geht, besonders auf das Thema Datenschutz achten. Entscheidend sei, dass personenbezogene Gesundheitsdaten nicht Dritten zugänglich gemacht werden, erklärt der Fachanwalt für Medizin- und Sozialrecht Professor Christian Dierks aus Berlin.

Das heißt, Ärzte können auch Patientendaten auf webbasierten Servern ablegen, sie müssten aber auf "eine sichere Verschlüsselung oder eine Anonymisierung" der Daten achten. Dierks: "Die Zuordnung zu Personen muss faktisch ausgeschlossen sein."

Die Verantwortung für die Patientendaten trage letztlich der Arzt, so Dierks. "Er verstößt gegen Paragraf 28 Bundesdatenschutzgesetz (Datenerhebung und -speicherung für eigene Geschäftszwecke), wenn die Daten anderen zugänglich werden. Zwar gibt es die Möglichkeit der Auftragsdatenverarbeitung, nach der eine Übermittlung personenbezogener Gesundheitsdaten an einen Cloud-Anbieter möglich wäre.

Aber es ist unklar, ob darin nicht noch ein Verstoß gegen Paragraf 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen) vorliegt." Deshalb müsse durch eine clientseitige Verschlüsselung, wie z.B. durch TeamDrive, die Identität der Patienten geschützt werden.

Der Cloud-Anbieter sei dann nicht in der Lage, einen Personenbezug herzustellen. Aber auch, wenn es um verschlüsselte Praxisdaten geht, sollte der Anbieter gründlich ausgewählt werden. Und: Arzt oder Ärztin sollten prüfen, in welche Länder Daten transferiert werden, denn auch das hat Auswirkungen auf den Datenschutz, erklärt Dierks.

Das gehört in den Cloud-Vertrag

Im schriftlichen Vertrag mit dem Cloud-Service-Anbieter sollte neben dem Nutzungsumfang des Services laut dem Juristen Professor Christian Dierks Folgendes geregelt sein: die technische Datensicherung; der Datenschutz (diese Klausel sollte den Schutz der Integrität beinhalten und den Zugriff des Anbieters auf Personenidentitäten ausschließen); die Dokumentationspflichten des Cloud-Anbieters; die Verfügbarkeit der Daten; evtl. Vertragsstrafen, wenn Leistungsvereinbarungen nicht eingehalten werden.

Wehr mehr über das Thema Risiken und Chancen von Clouds erfahren will, findet gute Tipps in dem Buch "Cloud Computing" von Christian Metzger, Thorsten Reitz und Juan Villar, Hanser Verlag, 2011, ISBN 978-3-446-42454-8

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Rätselhafter Demenz-Rückgang

Eine US-Studie deutet erneut auf eine fallende Demenz-Inzidenz, und zwar besonders in Geburtsjahrgängen ab 1925. Wisssenschaftliche Erklärungen für die Beobachtung fallen schwer. mehr »

Viele Gesundheitspolitiker verteidigen ihr Mandat

Die Großwetterlage hat sich verändert. Doch viele Fachpolitiker schaffen den Wiedereinzug ins Parlament. mehr »

Das Trauma nach der Loveparade

Das tödliche Gedränge bei der Loveparade im Sommer 2010 in Duisburg: Im ARD-Film "Das Leben danach" geht es um die Auswirkungen auf die traumatisierten Überlebenden. mehr »